¿Cuáles son las herramientas para escanear vulnerabilidades?
1. Escáner de vulnerabilidades de código abierto Trivy
Trivy es un escáner de vulnerabilidades de código abierto que puede detectar CVE en software de código abierto. La herramienta proporciona explicaciones oportunas de los riesgos, lo que permite a los desarrolladores decidir si utilizar el componente en un contenedor o aplicación. Los protocolos de seguridad de contenedores convencionales utilizan escaneo de imágenes estáticas para encontrar vulnerabilidades, mientras que Trivy integra perfectamente herramientas de escaneo de vulnerabilidades en el entorno de desarrollo integrado.
2. OpenVAS
OpenVAS es un completo sistema gratuito de gestión y análisis de vulnerabilidades de código abierto. Tiene la licencia pública general GNU y es compatible con diferentes sistemas operativos, incluidas múltiples distribuciones de Linux. OpenVAS aprovecha una base de datos de vulnerabilidades de origen comunitario y actualizada automáticamente que cubre más de 50.000 pruebas de vulnerabilidades de red conocidas.
3. Clair
Clair es un escáner de vulnerabilidades basado en API que puede detectar cualquier vulnerabilidad de seguridad conocida en la capa de contenedor de código abierto, lo que facilita la creación de contenedores de monitoreo continuo y la búsqueda de seguridad. vulnerabilidades. Clair recopila periódicamente metadatos de vulnerabilidad de diversas fuentes, indexa imágenes de contenedores y proporciona una API para recuperar las firmas descubiertas por las imágenes. Una vez que se actualicen los metadatos de vulnerabilidad, los usuarios recibirán una alerta para que se puedan descubrir nuevas vulnerabilidades de manera oportuna a partir de imágenes escaneadas previamente. Además, Clair también proporciona una API que se puede utilizar para consultar las vulnerabilidades de imágenes de contenedores específicas.
4. Anchore
Anchore es una herramienta de análisis estático y cumplimiento de políticas de contenedores Docker de código abierto. Después de la activación, Anchore realizará automáticamente escaneo, análisis y evaluación de imágenes del contenido del contenedor. El resultado final será una evaluación estratégica de cada imagen y determinar si cumple con los requisitos del negocio. Anchore descubre principalmente vulnerabilidades ocultas analizando el contenido de las imágenes del contenedor.
5. Sqlmap
Sqlmap es una herramienta de prueba de penetración, pero tiene la función de detectar y evaluar vulnerabilidades automáticamente. Esta herramienta va más allá de simplemente descubrir vulnerabilidades y exploits de seguridad: también crea informes detallados sobre los hallazgos; Sqlmap se desarrolla utilizando Python y es compatible con cualquier sistema operativo con un intérprete de Python instalado. Identifica automáticamente los hashes de contraseñas y utiliza seis métodos diferentes para explotar las vulnerabilidades de inyección SQL.
6. Nmap
Nmap es una herramienta de escaneo de red de código abierto. Sus escenarios de aplicación incluyen escaneo de puertos, toma de huellas digitales de servicios e identificación de la versión del sistema operativo. Nmap generalmente se considera una herramienta de mapeo de red y escaneo de puertos, pero debido a que viene con el motor de script Nmap, también puede ayudar a detectar problemas de configuración incorrecta y vulnerabilidades de seguridad.
7. Burp Sutie
Burp
La versión gratuita de Suite es un escáner de vulnerabilidades de aplicaciones web de código abierto. Esta versión es un conjunto de herramientas de software que cubre todo lo web. que necesita para realizar pruebas de seguridad manuales de las aplicaciones. Puede utilizar servidores proxy de interceptación para inspeccionar y modificar el tráfico entre el navegador y la aplicación de destino; también puede utilizar arañas que reconocen la aplicación para capturar el contenido y las funciones de la aplicación; además, puede utilizar herramientas de retransmisión para procesar y reenviar un mensaje; La solicitud única también proporciona acceso a una variedad de utilidades para analizar y decodificar datos de aplicaciones.